Security testing techniques and tools

Abstract

En este trabajo practico se hará una evaluación en materia de seguridad en un organismo gubernamental con proyectos e información real sobre las amenazas o vulnerabilidades que se puedan presentar, en un ambiente controlado, para esto, en primera parte se usará el marco de trabajo creado por OWASP, denominado SAMM para evaluar la organización y tener información sobre donde se encuentra actualmente en temas de seguridad, debido a la gran extensión del mismo, nos enfocaremos en el apartado de “Verificación” que incluye tres sub módulos, “Revisión del Diseño, Revisión de la Implementación y Pruebas de Seguridad”. Después del análisis teórico, pasaremos a la práctica buscando amenazas o vulnerabilidades para las aplicaciones con tecnología Web 2.0 tomando en cuenta el proyecto de OWASP Top 10 y obteniendo del mismo, tres que consideramos son las más críticas, con mayor cantidad de ataques y que pueden llegar a tener gran impacto en la organización, estas vulnerabilidades que se revisarán más a fondo son, A1 Inyección (SQL Injection), A3 Secuencia de Comandos en Sitios Cruzados (Cross-Site Scripting o XSS) y A10 APIs no Protegidas (Underprotected APIs) (OWASP, 2017a). Tomando en cuenta la información que presenta OWASP se montó un laboratorio de pruebas de seguridad en el Instituto Nacional de Estadística y Geografía (INEGI) donde se analizaron aplicaciones con tecnología Web 2.0 del año 2015 y 2016 construidas usando tecnología Oracle Java y Microsoft .Net para su análisis a fondo y confirmación usando una herramienta de código abierto del mismo organismo OWASP, esta herramienta llamada Zed Attack Proxy por sus siglas en inglés “ZAP”, ayuda a correr un escaneo completo de la aplicación con tecnología Web 2.0, detectar vulnerabilidades y simular como si fuera el atacante real, al final se genera un reporte que puede ser utilizado para corregir estas vulnerabilidades.

This thesis presents an assessment for security in an existing government organization with real projects and real information about threats and/or vulnerabilities that may present in a controlled test environment, for this, we will use OWASP’s SAMM Framework to evaluate the organization and gather information on where the organization stands in security matter, due the large extension of the framework, we will focus on the “Verification” module that is sub divided into three smaller modules, “Design Review, Implementation Review and Security Testing”. After the theoretical analysis, we will put it to practice searching for threats or vulnerabilities for Applications with Web 2.0 Technology using OWASP Top 10 project and getting from it, three vulnerabilities that we consider are the most critical, most attacks and/or more destructive or impact to the organization, these vulnerabilities that we will be thoroughly reviewed are, A1 Injection, A3 Cross-Site Scripting or XSS and A10 Under protected APIs (OWASP, 2017a). Taking into consideration the information presented by OWASP, a test laboratory was built in INEGI where we analyzed their Applications with Web 2.0 Technology from past years 2015 and 2016 built using either Oracle Java or Microsoft .Net Technologies, this laboratory was set to further analyze and try to confirm the vulnerabilities found using OWASP open source tool called Zed Attack Proxy or “ZAP”, this tool helped us run a full scan in all Applications with Web 2.0 Technology, detect vulnerabilities and simulate as if we were a real life attacker, at the end a report is generated that may be used later on to correct these vulnerabilities.